<u id="uht4q"><wbr id="uht4q"></wbr></u>
  • 
    
    1. <i id="uht4q"></i>

  • <b id="uht4q"></b>
  • 關于新型P2P僵尸網絡PBot的分析報告

    發布時間:2021-06-30

    本報告由國家互聯網應急中心(CNCERT)與北京奇虎科技有限公司(360)共同發布。

          一、概述

            CNCERT監測發現從2020年以來P2P僵尸網絡異?;钴S,如Mozi、Pinkbot等P2P僵尸網絡家族在2020年均異?;钴S,感染規模大、追溯源頭難且難以治理,給網絡空間帶來較大威脅。

    2021年5月31日,CNCERT和360捕獲到一個全新的使用自定義P2P協議的僵尸網絡,其主要功能為DDoS。(當前很多殺毒引擎將其識別為Mirai或Gafgyt家族,我們將之命名PBot)。

          二、相關樣本分析

    (一)僵尸網絡組織結構

            Pbot最獨特的地方在于它實現了P2P網絡通信,基于對Bot樣本和控制端的逆向分析,它的簡化網絡結構如下所示:


     1.jpg

     

            事實上Pbot的功能比較簡單,執行時首先會在Console輸出[main]  bot  deployedrn字樣,然后通過綁定本地端口實現單一實例,接著通過算法解密出BootNode、身份認證KEY等敏感的資源信息,最后通過BootNode節點加入到P2P網絡中,等待執行ControlNode下發的指令,主要有指令中DDoS攻擊,開啟telnet掃描傳播等。其中支持的DDoS攻擊方法如下所示:

        2.jpg    

    (1)attacks_vector_game_killer:UDP  DDos攻擊,連續發送768個隨機字串;

    (2)attacks_vector_nfo_v6:使用特定Payload對nfo務器發起TCP  DDoS攻擊;

    (3)attacks_vector_plainudp:UDP  DDos攻擊,連續發送511個隨機字串UDP包500次;

    (4)attacks_vector_plaintcp:TCP  DDoS攻擊,連續發送511個隨機字串TCP包2500次;

    (5)attacks_vector_l7_ghp:HTTP  DDoS攻擊,連續發送HTTP數據包500次。

    (6)attacks_vector_ovh_l7:  使用特定Payload對OVH服務器發起HTTP  DDoS攻擊。

            BootNode,是一個超級節點,除了與各Bot相同的p2p通信功能之外,還具有以下功能:

    (1)統計各Peer信息(Peer會向它注冊,上傳自身信息);

    (2)協助各Peer間尋找對方,BootNode保存了大量的P2P  Peers列表,Bot向其注冊后,可以請求一部分節點信息分享給Bot;

    (3)承載樣本,惡意shell腳本的下載服務。

    而ControlNode,則是管理節點,主要功能為向節點發送具體的指令,如DDoS攻擊,開啟掃描等。

    (二)傳播方式

            該家族樣本主要通過SSH/Telnet弱口令以及一些NDay漏洞傳播。相關NDay漏洞如下:

     微信圖片_20210630113333.png



    (三)感染規模

          通過監測分析發現,該僵尸網絡日均活躍Bot數在一千臺以上。

          

     4.jpg

          三、相關IOC

          樣本MD5:

    0e86f26659eb6a32a09e82e42ee5d720

    3155dd24f5377de6f43ff06981a6bbf2

    3255a45b2ebe187c429fd088508db6b0

    3484b80b33ee8d53336090d91ad31a6b

    769bc673d858b063265d331ed226464f

    8de9de4e14117e3ce4dfa60dacd673ef

    9cb73e83b48062432871539b3f625a21

    d209fe7d62f517de8b1cf1a5697e67c2

    e84a59bb18afff664e887744d8afebd0

          下載鏈接:

    http://205.185.126.254/bins/controller.x86

    http://205.185.126.254/bins/exxsdee.arm7

    http://205.185.126.254/bins/exxsdee.i586

    http://205.185.126.254/ssh.sh

    http://205.185.126.254:80/bins/crsfi.arm

    http://205.185.126.254:80/bins/exxsdee.arm

    http://205.185.126.254/korpze_jaws.sh

    http://205.185.126.254/korpze.sh

    http://205.185.126.254/sv.sh

    http://205.185.126.254/korpze_jaws.sh

    http://205.185.126.254///exxsdee.mpsl

    http://monke.tw/armz.sh

    http://monke.tw/u

    (來源:CNCERT)


    聯系電話:010-62199788
    公司地址:北京市昌平區七北路TBD云集中心(42號院)16號樓
    Copyright 2015-2020 長安通信科技有限責任公司版權所有 All Rights Reserved 京ICP備13045911號

    掃碼關注

    国产A级毛片久久久毛片精片_精品国产一区二区三区日韩欧美_亚洲av片在线播放_国产一区二区不卡在线_欧美日韩国产va在线观看免费_在线va无卡精品无码免费